HackerangriffePhishingDatenschutz

FrostyNeighbor-APT: Gezielte Spear-Phishing-Kampagne gegen osteuropäische Regierungen

Von CyberDeutsch Redaktion
FrostyNeighbor-APT: Gezielte Spear-Phishing-Kampagne gegen osteuropäische Regierungen
Zusammenfassung

Die belarussische Hackergruppe FrostyNeighbor führt seit März 2025 eine zielgerichtete Cyberespionage-Kampagne gegen Regierungs- und Militärorganisationen in Polen und der Ukraine durch. Die Advanced Persistent Threat (APT), auch unter den Namen Ghostwriter, UNC1151 und Storm-0257 bekannt, nutzt dabei eine raffinierten Angriffskette mit gefälschten PDF-Dokumenten, die als legitime Mitteilungen des ukrainischen Telekommunikationsanbieters Ukrtelecom getarnt sind. Besonders bemerkenswert ist die hohe Selektivität der Gruppe: Sie validiert potenzielle Ziele serverseitig und entscheidet manuell, ob ein Ziel Interesse genug ist, um den finalen Malware-Payload auszuliefern. Die neu eingesetzte JavaScript-Variante des PicassoLoader-Downloaders sammelt detaillierte Systeminformationen zur Victim-Validierung, bevor abschließend Cobalt Strike für Post-Compromise-Operationen bereitgestellt wird. Obwohl die Kampagne primär Osteuropa betrifft, könnten auch deutsche Behörden und kritische Infrastrukturen indirekt gefährdet sein, da die Gruppe in der Vergangenheit bereits Deutschland und baltische Staaten mit Phishing und Desinformation attackiert hat. Die kontinuierliche Weiterentwicklung ihrer Techniken unterstreicht die persistente Bedrohung durch diese staatlich unterstützte Spionagegruppe.

Die Cyber-Espionage-Gruppe FrostyNeighbor ist seit mindestens 2016 aktiv und hat sich zu einer der gefährlichsten APT-Gruppen im osteuropäischen Raum entwickelt. Sie wird von belarussischen Geheimdiensten unterstützt und kombiniert Spionage systematisch mit Desinformationskampagnen und großflächigen Phishing-Operationen. Die jüngste Angriffswelle offenbart eine beeindruckende technische Raffinesse.

Die Kampagne nutzt täuschend echte PDF-Dokumente als Köder, die sich als Mitteilungen des ukrainischen Telekommunikationsanbieters Ukrtelecom ausgeben und vermeintlich Informationen zur Kundendatensicherung enthalten. Diese Köder-PDFs enthalten versteckte Download-Links zu manipulierter Infrastruktur der Angreifer. Im Januar 2026 stellte FrostyNeighbor die Nutzung von makrobasierten Office-Dokumenten ein und setzt seitdem vollständig auf unscharfe PDF-Dateien mit eingebetteten Malware-Links.

Besonders raffiniert ist der mehrstufige Infektionsprozess: Zunächst wird die Victimology-Validierung durchgeführt. Befindet sich der angeklickte Link in einem anderen geografischen Raum als dem erwarteten, erhält der Nutzer eine harmlose PDF-Datei. Greift ein Nutzer aus der Ukraine zu, folgt dagegen eine RAR-Datei mit JavaScript-Dropper — diesem folgt das eigentliche Malware-Payload, die JavaScript-Version des PicassoLoaders.

Dieser Downloader sammelt dann umfangreiche Systeminformationen: Benutzername, Computername, Betriebssystemversion, Boot-Zeit, aktuelle Systemzeit und eine Liste aller laufenden Prozesse mit ihren IDs. Ein C2-Server wertet diese Daten aus und entscheidet — offenbar durch manuelle Operatoren — ob das System wertvoll genug ist, um Cobalt Strike zu installieren. Ist der Nutzer uninteressant, bleibt die Antwort leer.

Forscher des Sicherheitsunternehmens ESET beschreiben diese manuelle Validierungsschicht als ungewöhnlich konsequent durchgeführt. Sie signalisiert ein hohes Maß an operationaler Sicherheit und Ressourceneinsatz.

Unternehmen und Behörden sollten sofort Verteidigungsmaßnahmen treffen: Schulung von Mitarbeitern beim Umgang mit verdächtigen E-Mail-Anhängen, Minimierung von Benutzerrechten, Blockierung der Ausführung heruntergeladener Dateien und konstantes Monitoring auf anomale Netzwerkkommunikation. ESET hat ausführliche Indikatoren zur Identifikation (IoCs) veröffentlicht, die für Defensive Maßnahmen genutzt werden sollten.

Ähnliche Artikel